香港文匯報訊(記者 崔瀅)《保護關鍵基礎設施(電腦系統)條例》(第653章)(《條例》)已於今年元旦日生效,旨在對指定運營者實行三類法定責任,以降低必要服務受網絡攻擊干擾或破壞的風險,提升香港整體電腦系統安全,同時對維護國家安全亦具有重要意義。獲香港特區政府委任為關鍵基礎設施(電腦系統安全)專員的陳永安日前在接受傳媒訪問時表示,由他領導的專責辦公室已發布相關實務守則 ,正識別各類運營者及其關鍵電腦系統,並按照關鍵程度和準備程度,計劃於今年年中按界別制訂更具體的實務守則。然而,《條例》實施後亦存在挑戰,因部分運營者使用的科技系統年代已久遠,運營模式欠缺彈性,「當運營技術與資訊科技系統融合時易出現安全缺口而被黑客攻擊。」專責辦公室正與運營者商討解決方案,包括探索海外技術支援以提高系統防護能力。
《條例》涵蓋持續地在香港提供必要服務,以及維持關鍵社會或經濟活動的兩大類關鍵基礎設施,前者一旦服務遭干擾、破壞或長時間無法使用,會嚴重影響社會日常運作及市民生活;後者若遭破壞、喪失功能或數據洩漏,可能會妨礙或嚴重影響香港重要社會和經濟活動的運作。
根據《條例》,運營者須履行一系列法定責任,包括設立安全管理單位並由合資格人員任主管、通報系統重大變更、參與演習做評估等,否則專責辦公室可向其發出書面指示限期糾正。特區政府部門則因已遵循《政府資訊科技保安政策及指引》,故不納入《條例》規管範圍。
參考國際標準等制訂守則
陳永安指出,制訂實務守則前已參考國際標準及行業良好作業模式,以及與持份者、潛在運營者商會、行業專業學會多輪磋商,涵蓋管治架構、風險管理、技術防護、監測及應對以及事故復原等逾200項要求。守則屬指引性質,非附屬法例,未來將按政策及責任變動作出修訂。專責辦公室亦與相關政府部門、監管機構、金融管理專員及通訊事務管理局協調合作,減輕運營者不必要的合規成本。
雖然關鍵基礎設施主要針對服務供應商,但陳永安指與市民日常生活亦息息相關,「例如能源界受到網絡攻擊,最直接出現的後果就是停電;如果海陸空交通運營者的關鍵電腦系統受到威脅,則會造成航班升降受影響。」他指香港目前面臨的網絡安全威脅主要包括勒索軟件、阻斷式服務攻擊及憑證盜取等,部分運營者仍需投入更多資源以確保系統安全水平。
利外資來港投資 維持社會穩定
他續說,《條例》實施對外資來港投資亦具正面作用,「尤其對於服務供應商而言,為它們提供了一個有法可依的環境,有助提升整體系統安全。」至於《條例》對維護國家安全的意義則在於保障與民生及經濟活動密切相關的關鍵基礎設施,降低服務受到干擾或破壞,維持社會穩定。
另針對部分潛在運營者在網絡安全方面的資源投入或未達基線要求,專責辦公室將協助其提升水平。專責辦公室亦計劃於今年年中開始,按運營者的關鍵程度及準備程度作出指定,要求相關運營者在3個月內提交電腦系統安全管理計劃。未來則會每年進行一次風險評估、每兩年進行一次網絡安全審查,運營者亦須每兩年至少參與一次演習及在3個月內提交報告。
長遠而言,專責辦公室期望能與運營者建立夥伴關係,推動企業建立內部安全文化,讓全體員工共同維護系統安全與資料保護,為香港整體利益一起努力。
0
已點過讚
0 / 255